Clientside attack using HoneyClient Technology
•
2 likes•553 views
Introduce client-side attack, Capture-HPC and Malzilla
Recommended
More Related Content
Viewers also liked
Viewers also liked (20)
Similar to Clientside attack using HoneyClient Technology
Similar to Clientside attack using HoneyClient Technology (20)
More from Julia Yu-Chin Cheng
More from Julia Yu-Chin Cheng (9)
Clientside attack using HoneyClient Technology
- 2. Page §2 Outline § Introduce to Client-Side Attack § Shellcode Analysis (講義⼆二) § Malicious PDF Analysis (講義⼆二) § HoneyClient Technology § High-interaction honeyclient: Capture-HPC § Low-interaction honeyclient: PHoneyC § Conclusions
- 3. Page §3 基礎知識: 什麼是Web Service 3 § Web Service (網路服務):網路服務可視為⼀一具有互通性與延伸性平台 ,讓應⽤用程式在網路上提供服務,使⽤用者可藉由交談⽅方式,存取網路 服務。
- 4. Page §4 基礎知識: 什麼是Web Service (Cont.) 4 Firewall Port 80HTTP Traffic Web Client Web Server Application Application Database Server 送出URL, 找到服務 提供的網 站位置 JSP,PHP, HTML,ASP, Javascript, Apache, IIS,
- 5. Page §5 5 基礎知識:網⾴頁傳送運作流程 l 使⽤用者使⽤用瀏覽器(IE、Firefox),輸⼊入網址URL l 透過網路(Internet)將Request傳送到Web Server l Web Server解讀使⽤用者所送來的Request,並將網⾴頁內容藉網路 傳回,瀏覽器將內容顯⽰示出來。 網⾴頁內容組成:網⾴頁內容描述語⾔言為HTML (Hyper Text Markup Language),主要由標籤與內容所組成,⽽而瀏覽器會解讀標籤,再 依不同標籤屬性(⽂文字、動畫、圖⽚片、javascript、…等),解讀內容。 Interne t
- 6. Page §6 基礎知識: JavaScript 特點 § 特點: – 直譯式語⾔言:嵌⼊入於HTML,瀏覽器載⼊入時逐⾏行解讀 – 即時性: 無需經伺服器就可對⽤用⼾戶端事件做出回應 – 跨平台:⽤用⼾戶端裝有⽀支援Javascript腳本瀏覽器,執⾏行結果能正 確呈現在⽤用⼾戶端瀏覽器平台上。 § 功⽤用: – 表單資料合法性驗證 – ⾴頁⾯面特效 – 互動式表單 – 動態⾴頁⾯面 – 數值運算 6 <html> <head></head> <body> <script language=“javascript”> window.open(‘6ex.html', 'Joseph', config='height=300,width=300') </script> </body> </html>
- 7. Page §7 惡意程式定義 § 惡意程式(Malicious programs,簡稱Malware)是指在未明確提⽰示⽤用⼾戶 或未經⽤用⼾戶許可的情況下,在⽤用⼾戶電腦上進⾏行安裝、侵害或竊取⽤用⼾戶 系統資訊的程式,包含病毒、蠕蟲及⽊木⾺馬。 (From wiki) § 廣義來說,凡具有下列特性的程式即為惡意程式 – ⾃自我複製與感染物件 – 刪除檔案 – 強制安裝難以移除 – ⾸首⾴頁綁架(hijacking ) 廣告彈出 – 蒐集使⽤用者與系統資訊 – 惡意移除⽤用⼾戶端程式 – 干擾電腦運作 – 影響系統與網路效能
- 9. Page §9 Server-Side Attack v.s Client-Side Attack § Server-Side Attack: 攻擊者對Server所提供的服務系統,進⾏行攻擊與滲透。 植⼊入Worm 上載Malware並嵌⼊入Web Page Malicious cra2ed HTTP RequestVulnerable Web Server
- 10. Page §10 Server-Side Attack v.s Client-Side Attack § Client-Side Attack: 當⽤用⼾戶端應⽤用程式(Client Application)與Malicious Server相互交談時(Interact),攻擊Client Application 弱點,或是誘使Client Application執⾏行惡意程式。 – 任何Client/Server 架構之服務,都可能導致 – Web Browser, FTP, Email, MSN, Multimedia Stream, PDF reader – 現⾏行之Firewall/IPS/Proxy之防禦⽅方式,難以偵測 Pass 檢查
- 11. Page §11 Client-Side Attack (Cont.) 1. 置⼊入Exploit code 到網⾴頁中,利⽤用Obfuscation Javascript 躲避防毒軟體偵測( encoding, dynamical content with Javascript, functions) 2. Redirect window.open() window.location.href() <meta http-equiv=“refresh” content=“…”> 4. Drive-by-download 3. 執⾏行Exploit Code 2. Exploit Code攻擊Client Application弱點
- 12. Page §12 Drive-by-download :(瀏覽即下載) § 感染⽅方式⼀一:使⽤用者不知情或是不了解知情況下,同意下載惡意程式於 ⽤用⼾戶端電腦當中。 (如:installing an unknown ActiveX component or Java applet). § 感染⽅方式⼆二:Download of malware through exploitation of a web browser, e-mail client or operating system vulnerability, without any user intervention
- 13. Page §13 Client-Side Attack (Cont.) § 常⾒見Client-Side Attack之影響: – 植⼊入bot,加⼊入殭屍網絡,接受駭客控制 – 建⽴立Proxy於受害端,利⽤用受害端網路發送垃圾郵件 – 建⽴立spyware與keylogger,收集資訊 – 建⽴立Browser Helper Objects (BHOs)或廣告軟體 § 如何阻擋Client-Side Attack ? – 修補Client Application 漏洞,更換新版本 – 判定Malicious Server ,建⽴立Blacklist
- 14. Page §14 非常嚴重的惡意網頁威脅 14 Vulnerable Web Server 1.尋找有弱點的網站,取得控制權 2.植⼊入惡意連結於網 ⾴頁 Phishing Site 瀏覽惡意連結, 導致瀏覽器遭 受ExploitCode 攻擊,下載遠 端惡意程式 設置⼀一個以假亂真的網站,來欺騙網路瀏覽者上當 利⽤用網路瀏覽者對於正常網站的信任感, 讓使⽤用者在不知不覺中被植⼊入⽊木⾺馬程式 惡意程式伺服器( 秘密基地) 下載新型惡意程式,接受駭客控制
- 15. Page §15 惡意網頁威脅為何難以防範與清除? 15 Malicious Link Malicious Link Malicious Link Malicious Link Obfuscated Javascript Obfuscated Javascript Malware Malware Malware Exploit Code Landing Sites Hopping Site Download Site 惡意連結 變形編碼過後 惡意JavaScripts 惡意程式伺服器 (秘密基地) 惡意網站跳躍式攻擊關聯圖 惡意網頁威脅為何難以防範與清除? 一連串攻擊協同合作關係,現在的偵測方式都只著重於找出 Landing sites,應設法找出完整的攻擊生態鏈。
- 16. Page §16 惡意網⾴頁攻擊⼿手法說明—進階發展(Cont.) § 駭客為了躲避防毒軟體,網⾴頁內容過濾系統偵測,駭客利⽤用Javascript 語⾔言將Exploit Code 與惡意連結(Malicious Link)編碼變型,導致防毒 軟體難以有效偵測,但使⽤用者瀏覽器仍可正確解譯出內容,遭受攻擊 與感染。 16 http://v.6t65r.cn/01/
- 18. Page §18 惡意網⾴頁Drive-by-Download攻擊⼿手法 § Drive-by-Download⼜又稱為網⾴頁掛⾺馬,或網⾴頁隱藏式惡意連結。 § 駭客在網⾴頁應⽤用程式或是網站主機有弱點情況下,取得權限,在網⾴頁 中插⼊入⼀一段惡意連結,惡意連結主要為攻擊IE弱點的攻擊程式⾺馬 § 使⽤用者在瀏覽含有惡意連結的網⾴頁時,如果瀏覽器或是系統沒有安裝 修補程式(Patch),攻擊應⽤用程式的漏洞 (Browser、Flash 、 PDF…) ,系統將會執⾏行惡意程式並感染⽤用⼾戶端電腦。 18
- 20. Page §20 惡意網頁威脅為何難以防範與清除? 20 Malicious Link Malicious Link Malicious Link Malicious Link Obfuscated Javascript Obfuscated Javascript Malware Malware Malware Exploit Code Landing Sites Hopping Site Download Site 惡意連結 變形編碼過後 惡意JavaScripts 惡意程式伺服器 (秘密基地) 惡意網站跳躍式攻擊關聯圖 惡意網頁威脅為何難以防範與清除? 一連串攻擊協同合作關係,現在的偵測方式都只著重於找出 Landing sites,應設法找出完整的攻擊生態鏈。
- 21. Page §21 真實案例探討 攻擊連線偵測 台灣xxx教育局被設置釣魚網站 台灣xxx教育局被放置Bot 殭屍程式,PHP Bot 台灣xxx教育局伺服器主 機,發現有許多未明連線 與埠口 被載入駭客控制介面 21
- 22. Page §22 完整的網路攻擊模式分析 1.註冊動態域名解析服務(Dynamic DNS),例如: xxx. 8866.org / xxxx.3322.org 2. 攻擊基地:尋找有弱點網站,遠端植入(setup)檔案,成 為駭客發動攻擊基地與社交網站據點。 3. 前哨站:建立惡意程式下載伺服器、惡意網頁、釣魚 網站、垃圾郵件伺服器。誘使使用者感染惡意程式後 ,竊取資料,並利用快速變動網域(Fast-Flux)保護前 哨站。 4. 享受成果:當使用者感染惡意程式後,將會把個人 資料傳送到中繼站,並開始寄送垃圾郵件,下載更新 惡意程式,成為駭客殭屍網絡中一員。 22
- 23. Page §23 23 1. 利⽤用網站弱點以及RFI攻擊 ⼿手法, Site A 變成駭客的Host Proxy, 駭客可透過A控制Bot Compromise Web A 網頁掛馬 將Malicious Code植⼊入Page, 回報站 1. 使⽤用者瀏覽網⾴頁, 即下載惡意程式,中毒 回報IP,Email,使⽤用者帳號, 作業系統,CPU,MSN (Web , Smtp) 下載更多惡意程式 寄發內含釣⿂魚連結 假冒信件 洩漏隱私 性資料 Malicious Web + RFI + Fast-‐Flux+ Phishing= 完整的駭客社群⾦金流體系 申請一個網域 名稱 3322.org 2. 建⽴立MalwareFile Server SMTP Server SMTP Server Malicious Web Site B2 Malicious Web Site B1 3322.org 3322.org Malicious Web Site B3 3322.org Phishing Web Site C1 3322.org Phishing Web Site C2 3322.org
- 24. Page §24 惡意網⾴頁:⼤大陸⽤用語 § 網⾺馬:真正含有Exploit Code惡意網⾴頁,攻擊應⽤用程式弱點,惡意網⾴頁亦 含有下載與執⾏行⽊木⾺馬連結。 § 掛⾺馬:網⾴頁上嵌⼊入⼀一段程式碼,程式碼內含iframe惡意連結,惡意連結為 放置網⾺馬位置 § 漏洞:應⽤用程式漏洞,網⾺馬成功攻擊感染使⽤用者電腦的執⾏行前提為使⽤用者 端需有相對應的漏洞 § 中率 : 網⾺馬的中招率,例:1000个IP瀏覽了掛⾺馬的網⾴頁,200個成功的中 了⽊木⾺馬,中率就是20%。 § ⾁肉雞:任⼈人宰割的机器,駭客擁有使⽤用者電腦的遠端控制權。 24
- 25. Page §25 Thinking from User’s Viewpoint § Client-Side Attack已成為駭客攻擊,為了要了解駭客攻擊⼿手法,我 們需要知道哪些資訊? – 攻擊標的, (IE6.0 Vulnerability 運作原理) – 攻擊⼿手法,Exploit Code+Shellcode – 攻擊⺫⽬目的,(惡意程式⾏行為:Botnet CC , 竊取帳號)
- 26. Page §26 Thinking from Website administrator’s Viewpoint § 所建⽴立的系統,可能具有哪些弱點?可能遭到哪些Exploit Code 攻擊? § 系統被攻陷後,該思考哪些層⾯面: – 駭客是⽤用哪個弱點攻進系統? – 駭客在被駭主機上做了哪些事?主要⺫⽬目的為何?
- 27. Page §27
- 29. Page §29 惡意網⾴頁探測分析流程: 29 Web Crawler URL HTML Content Content Analysis Behavior Analysis Mallink Sequence Sandboxing Reporting Content Analysis Capture -HPC Decoder Interpreter Behavior Log Mallink Seq. Trafficmalware
- 30. Page §30 Web Crawler 介紹 § Web Crawler (網⾴頁爬蟲): 另稱為Web Spider ,⾃自動擷取網⾴頁上的資料,再進⾏行分析,可應⽤用 於更新網⾴頁資訊、驗證網⾴頁連結,檢查HTMLForm之有效性, § Web Crawler 分類: – Web Crawler by Search Engine: 利⽤用關鍵字索引不同之Search Engine,並將搜尋到的資料進⾏行處理。 – Web Crawler for Targeted Visiting: 利⽤用資訊代理⼈人(Information Agent),對特定網站進⾏行資訊擷取。如: URL Lists
- 31. Page §31 Web Crawler by Search Engine § http://www.webcrawler.com/
- 32. Page §32 Web Crawler for Targeted Visiting § Win Web Crawler: – http://www.winwebcrawler.com/ § HTTrack: – http://www.httrack.com/ § Websphinx: – http://www.cs.cmu.edu/~rcm/websphinx/
- 33. Page §33 Win Web Crawler § ⽀支援三種Web Crawler 搜尋: – Keywords on search engine – Targeted Visiting – URLs from File
- 34. Page §34 Websphinx: § 可抓取網⾴頁上資料,,⽀支援網⾴頁Tag解析, 並⽀支援多種儲存⽅方式 – Visualize part of the Web as a graph – Save pages to disk – Concatenate pages for printing – Extract images from a set of pages a(?{logo}img)p(?{caption})/a 安裝執⾏行: 安裝java 1.2 以上版本 java –jar websphinx.jar
- 35. Page §35 HoneyClient 介紹 n 什麼是HoneyClient: n 定義:Honeyclient is an active security devices/application in search of malicious servers that attack clients. n 為⼀一主動式之誘捕系統,能夠模擬⽤用⼾戶端應⽤用程式與Server進⾏行互動 ,根據互動結果能夠判斷Server為正常(Benign)或是異常(Malicious) n Web Browser, FTP, SSH, Email, … n ⾼高互動式 v.s低互動式 n 主動式 v.s被動式
- 36. Page §36 HoneyClient 介紹 (Cont.) § HoneyClient 控制應⽤用程式 (Browser),對遠端主機⺫⽬目標進 ⾏行探測,藉由探測結果,評估是否遠端⺫⽬目標為惡意伺服器。 36
- 37. Page §37 HoneyClient 介紹(Cont.) § 設計要點: – 安全性 – 可控制性 – 資訊收集能⼒力 – 擴充性 § 系統架構: – Queuer:分派URLList給Client Honeypot 進⾏行探測 – Clinet Application: 根據Queuer所分配之URL,對Server進⾏行查詢 – Analysis Engine: 判斷探測結果為Benign或是Malicious – Safety Strategy: 避免Malicious Server對Client Honeypot攻擊成功 (firewalls and virtual machine sandboxes)
- 38. Page §38 HoneyClient 介紹(Cont.) 38 – Queuer (Crawling): 產⽣生探測駐列,分派URLList給Client Honeypot 進⾏行探測 – ClientApplication: 對遠端⺫⽬目標進⾏行探測 – Analysis engine: 能夠對探測結果進⾏行分析 (Integrity Checks) – Security Strategy: 防護措施,避免Client被攻擊 ⽽而成為跳板 (Revert) 設計要點: 安全性、可控制性 資訊收集能⼒力、擴充性
- 39. Page §39 HoneyClient 分類介紹 § High-Interaction: 使⽤用整個Client Real System進⾏行探測 – Capture-HPC – HoneyClient – HoneyMonkey – SHELIA – UW Spycrawler – Web Exploit Finder § Low-Interaction: 模擬Client Application⾏行為,對遠端主機 進⾏行探測 – HoneyC – PHoneyC 39
- 40. Page §40 HoneyClient 介紹(Cont.) High-‐InteracHon Low -‐ InteracHon 運作方式 採用真實作業系統與Client APP與Server進行互動 模擬Client ApplicaJon行為與弱點, 對Server Service進行互動。 分析方式 利用系統之狀態改變,進行判 定。 (Unauthorized StateChange) 對Client Honeypot所紀錄之資料,進 行分析,或用特徵碼進行比對分析 優缺點比較 易於收集最新的Malicious Server攻擊手法,控制與發展 上難度較高 運行快,偵測率,誤報率較高,無法 模擬所有Client APP弱點 工具 Capture-‐HPC,HoneyClient HoneyMonkey,SHELIA UW Spycrawler, Web Exploit Finder HoneyC Monkey-‐Spider SpyBye PhoneyC 分類:(互動性之⾼高低)
- 41. Page §41 HoneyClient 介紹(Cont.) ClientHoneypot TradiHonal Honeypot 原理 模擬Client-Side 應用程式,不需提供 Service誘捕攻擊 模擬Service服務與回應,誘捕 攻擊 收集方式 主動 (Client APP主動探測Server Service) 被動 (等待駭客進行探測攻擊) 判定方式 需定義判斷標準,用以判斷正常或異 常 所有收集到的連線與探測,皆 為異常
- 43. Page §43 Capture-HPC 介紹 § High-Interaction Client Honeypot § Open Source Tool – Developed by Victoria University of Wellington and NZ Honeynet Project § Purpose: Capture-HPC 為⼀一⾼高互動式的Client Honeypot ,探測Malicious Web servers (監控Client-Side Attacks) – 探測惡意伺服器,收集被植⼊入Client的惡意程式 – Virtual Machine Based – Client-Server 架構 (⼀一對多控制,Logs Centralized) – ⽀支援不同的Browser與不同的應⽤用程式,進⾏行探測 – 可監控file system, registry, process of a system 43
- 44. Page §44 Capture-HPC 介紹 (Cont.) § 判斷⽅方式: – Monitor our client system for unauthorized modifications with client- side attack code – 以⼀一個乾淨的環境開始進⾏行探測,探測過程中,若是環境被改變 (Create、Write) ,代表該網站可能為Malicious Server § 官⽅方網站: – https://projects.honeynet.org/capture-hpc/ – 建議加⼊入Mailing List: https://public.honeynet.org/mailman/listinfo/capture-hpc 44
- 45. Page §45 Capture-HPC 介紹 (Cont.) 45
- 46. Page §46 Capture-HPC 介紹 (Cont.) report
- 48. Page §48 Client Honeypot 介紹 (cont.) § 如何找到可疑惡意之站台 (Malicious Code) ? – Search Engine: 利⽤用keywords,使⽤用Search Engine,找出駭客可能 感興趣的網站。 – Blacklists: 網上搜集,利⽤用Client Honeypot進⾏行測試 – Links from spam or phishing message: 蒐集垃圾郵件中連結 – Links from newgroups – Links form chat tools – 特定網站: • http://www.knownsec.com/indexzh.html • http://www.sacour.cn/
- 49. Page §49 Capture-HPC 介紹 (Cont.) Capture-BAT 介紹: § 系統⾏行為分析⼯工具 § 運⾏行於Win 32 OS § 使⽤用API hooking 來監控Registry, Process與File狀態的變化。 § 提供exclusion lists來過濾正常的事件 § 提供系統⾏行為監控的log,幫助後續分析
- 50. Page §50 Capture-HPC 介紹 (Cont.) § Capture-HPC 以Capture-BAT為基礎,進⾏行發展,控制 Client Application對RemoteServer 探測,藉由Capture- BAT來對整體系統狀態改變進⾏行監控: – Drives compete O/S and application – Extended to control and monitor VMware instances – Control server for client control and data collection – Provide proxies to access Internet
- 52. Page §52 Step 1: 安裝步驟: 桌上型主機 § 安裝Java執⾏行環境 § 安裝Capture-HPC Server § 安裝VMware-Server 1.0.6 n Step 1: 本機電腦(任何OS皆可),安裝Vmware server,VMware-server- installer-1.0.6-91891.exe § 開啟FirewallPort 902 (By Pass) n Step 2: Vmware將會開啟Port 902接受Capture Server的命令進⾏行探測,因此本機 電腦防⽕火牆須開啟Port 902 § 載⼊入Guest OS (WinXP Sp2) n Step 3: 安裝Guest OS於VMware Server上,Guest OS限定是Windows XP SP2, 其他版本會有問題 (網路連接選擇Custom à VMnet8 (NAT)) § 停⽌止防毒軟體
- 53. Page §53 Step 2: 安裝步驟: Guest OS(WinXP SP2)n Capture-HPC Client 運作於虛擬機器Guest OS中 n Step 1:安裝Vmware Tools n Step 2:安裝 Micosoft Visual C++ 2008 Redistributable Libraries (SP0) vcredist_x86.exe n Step 3:GuestOS(WinXP SP2)中,安裝winpcap4.0.2 n Step 4:安裝Capture-Client程式,CaptureClient-Setup.exe n Step 5:安裝其他需要的程式,ex: Wireshark、Firefox, Adobe Reader 8.0。 (盡量安裝具有弱點且較舊的應⽤用程式 http://oldapps.com) n Step 6: 設定登⼊入帳號密碼(開始à控制台à使⽤用者帳⼾戶à新增密碼) n Step 7:關閉Windows Update (控制台à⾃自動更新à關閉⾃自動更新) n Step 8:瀏覽器功能與安全性設定 n 安裝Adobe Flash Player n IE: ⼯工具à快顯封鎖程式à關閉 n IE: 網際網路選項à安全性à ⾃自訂等級à 啟⽤用功能 n IE: 隱私權à接受所有的Cookies n 清除Cache 與暫存檔 n Step 10:安裝完所有需要的⼯工具與修改設定後,⼀一定要做Take Snapshot (千萬要記得!)
- 54. Page §54 Step 3: Capture-HPC Client 設定說明 § HPC-Client 安裝完後,安裝檔案路徑置於C:Program FilesCapture 下 § 重要檔案程式: – Application.conf : 紀錄探測時所⽤用到的應⽤用程式路徑 ( 加⼊入iexplore C:Program FilesInternet Exploreriexplore.exe“) – CaptureClient.bat /CaptureClient.exe: 主程式 – 排除列表, ⽤用於過濾正常程式,避免紀錄到 – ProcessMonitor.exl – RegistryMonitor.exl – FileMonitor.exl (利⽤用Regular Expression,+(exclude) , - (explicitly include) ) § 原則上不需修改。 54
- 55. Page §55 Step 3: Capture-HPC Client 設定說明 § HPC-Client 安裝完後,安裝檔案路徑置 於 C:Program FilesCapture 下 – Application.conf : 紀錄探測時所⽤用到的應⽤用程式路徑 ( 加⼊入iexplore C:Program FilesInternet Exploreriexplore.exe“) n CaptureClient.bat /CaptureClient.exe: 主程式 n 排除列表, ⽤用於過濾正常程式,避免紀錄到正常程序,產⽣生誤判ProcessMonitor.exl、 RegistryMonitor.exl、FileMonitor.exl (利⽤用Regular Expression,+(exclude) , - (explicitly include) ) 需過濾掉之正常程序為: 1. Windows prefetch 2. Windows update 3. Adobe update 4. Internet Explorer activities 5. Capture-HPC client activities 55
- 56. Page §56 Step 4: Capture-HPC Server 設定說明 § 重要檔案: – CaptureServer.jar : 主程式 – config.xml: 設定檔 – revert 執⾏行檔:分為Windows與Linux版本,⺫⽬目前只有⽀支援Vmware Server 1.0.6與Vmware Server 1.0.7 – input_urls_example.txt : URL 列表 – logs ⺫⽬目錄:置放探測Capture-Client 探測結果 56
- 57. Page §57 編輯:config.xml 檔案 § 分為兩⼤大部分:Global options 與 Virtual Machine資訊 § Global options global collect-modified-files=true“ § client-default=“iexplore”iexplore bulk - iexplore § client-default-visit-time=“300” § capture-network-packets-malicious=true § capture-network-packets-benign=false § send-exclusion-lists=“false § terminate=“false § group_size=10 57
- 58. Page §58 § vm_stalled_after_revert_timeout=“300”HPC Server送出vixapi,HPC- Client最⻑⾧長回應時間 § revert_timeout=“300”HPC Client執⾏行revert時,最常多久之內要完成 § client_inactivity_timeout=“60”送出Ping資訊,等待回應 § vm_stalled_during_operation_timeout=“300”HPC Server送出URL , HPC-Client最⻑⾧長回應時間 § same_vm_revert_delay=“6”送出revert 給同⼀一台vmware上有多個HPC- Client時,delay時間 § different_vm_revert_delay=“24”送出revert給不同vmare上的HPC- Client, delay時間 / 58
- 59. Page §59 Virtual Machine Server n virtual-machine-server type=“vmware-server” address=“captureclient所在主機IP” port=“902 (Listen Port)“ username=”captureclient所在主機登⼊入帳號 student” password=“captureclient所在主機登⼊入密碼 lab0507 virtual-machine vm-path=“Vmware上GuestOS路徑 C:Virtual MachinesHPC- InstallWindows XP Professional.vmx client-path=“HPC-Client程式路徑 C:Progra~1CaptureCaptureClient.bat username=“GuestOS登⼊入帳號 HPC“ password=” GuestOS 登⼊入密碼HPC@nchc“ / /virtual-machine-server 59
- 60. Page §60 5. 執⾏行 § java -Djava.net.preferIPv4Stack=true –jar CaptureServer.jar -s 控制端IP Lisening address:IP Listening port -f input_url.txt 60
- 61. Page §61 Log Information on Capture-Server § Safe.log : the clear and deemed benign URLs § Process.log : visiting information for URLs § Error.log : URLs that could not be visited § States.log: the performance of the Capture-System § Malicious.log : the list of deemed malicious URLs § Server_timestamp.log : a list of state changes for visiting each URLs § Server_timestamp.zip: the files with modified or deleted off on the client machine during the interaction with a malicious servers
- 62. Page §62 ⽂文件列表 § Capture-Client Readme § Capture-Server Readme § Capture Communication Protocol § Capture FAQ : https://projects.honeynet.org/capture-hpc/wiki/FAQ § Preprocessor_README § TroubleshootingGuide 62
- 63. Page §63 Capture-HPC 結論 § 利⽤用Capture-HPC 探測Malicious Web Server,建⽴立⿊黑名單。 § 利⽤用Capture-HPC探測時,對相同的URL 需在不同的時間點多操作 幾次,否則無法偵測的到 : – 有時只做⼀一次,malicious website不會造成系統改變,因此 CaptureClient不會偵測到。 – 某些Malware Website只在某些時候開站。 § 擬定Re-Visit ,判定Malicious Websites是否還具活動⼒力。 § 擴充Capture-HPC的功能,延伸⾄至其他Client Application,如:PDF Reader
- 65. Page §65 PHoneyC -- Pure Python honeyclient implementation § Low interactionvirtualhoneyclient § http://code.google.com/p/phoneyc/ § Code License : GNU GPL v2 § Design Concept: – emulates the core functionality of a web cliente – emulates specific vulnerabilities to pinpoint the attack vector
- 67. Page §67 PhoneyC Installation: § libemu-svnhttp://libemu.carnivore.it/ § Install python-pycurl § Curl http://curl.haxx.se/ § 下載Source Code: § svn checkout http://phoneyc.googlecode.com/svn/phoneyc/trunk/ phoneyc § 安裝Phoneyc – cdphoneyc – make ubuntu – cd modules – Make – make install
- 68. Page §68 PHoneyC running § Usage: § python phoneyc.py [ options ] url § Options: § -h, --help Display this help information. § -lfilename , --logfile=filename Output file name for logs. § -v, --verbose Explain what is being done (DEBUG mode). § -ddebuglevel , --debug=debuglevel Debug Level, 1-10. § -r, --retrieval-all, Retrieval all inline linking data. § -c , --cache-response Cache the responses from the remote sites. § -upersonality, --user-agent=personality Select a user agent (see below for values, default: 1) § -n, Replace all non-ASCII characters with spaces(0x20) in all HTML or JS contents § -m Enable Universal ActiveX object § User Agents: § [1] Internet Explorer 6.1 (Windows XP) § [2] Internet Explorer 7.0 (Windows XP) § [3] Internet Explorer 8.0 (Windows XP) § [4] Internet Explorer 6.0 (Windows 2000)
- 69. Page §69 § Python phoneyc.py –v http://…………. § Python phoneyc.py –v file://test/xxx.html § Python phoneyc.py -v anzuzettelndem.com/u7LsArUV_-p.php
- 70. 惡意網⾴頁分析 - FreShow + Malzilla
- 71. Page §71 惡意網⾴頁變形技術—常⽤用Javascript Functions § eval :將⼀一串字串,當作指令來執⾏行,並得出結果 § escape/unescape: 對⼀一個字串編碼/解碼 § document.write: 在⾴頁⾯面上輸出資料 § fromCharCode(): 將 Unicode 值,轉成⼀一个字元 71 注意:惡意網⾴頁分析時,需將document.write取 代成alert( ),將eval( )轉換成document.write
- 72. Page §72 惡意網⾴頁變形技術 § Name Obfuscation: 透過字串取代達成Javascript編碼變型。 § String Splitting: 將Exploit Code在執行期才組合起來,躲避掃毒軟體的 特徵碼掃描 § Code Encryption:將惡意程式碼編碼起來,執行階段才完整解譯,躲避 掃毒軟體的特徵碼掃描 72
- 73. Page §73 惡意網⾴頁變形技術-- On-line Javascript 變形⼯工具 § OMARC MalwareGuru – http://malwareguru.com/JSPacker/JavaScriptPacker.php § cha88.cn – http://www.cha88.cn/ § yellowpipe.com – http://www.yellowpipe.com/yis/tools/encrypter/index.php § auditmyp – http://www.auditmypc.com/html-encoder.asp § Dean Edward's javascript packer – http://dean.edwards.name/packer/ § Monyer – http://monyer.cn/demo/monyerjs.html § JavaScript online obfuscator and packer – http://packer.50x.eu/ 73
- 74. Page §74 Obfuscated Javascript 分析實務 § 解碼⼯工具(Debugger/Interpreter/Decoder/Sandbox) – Rhino http://www.mozilla.org/rhino/ – NJS http://www.njs-javascript.org/ – SpiderMonkey http://www.mozilla.org/js/ spidermonkey/ – Malzilla http://malzilla.sourceforge.net – FreShow http://www.jimmyleo.com/work/FreShowStart.htm – Coder http://www.bindshell.net/tools/coder § ⼿手動簡易分析法 74
- 75. Page §75 Decode JavaScripts-- example.htm ⼿手動取代法 1. 打開example.html,將“eval” and “document.write”,以alert取代, 並將檔案另存為example1.html 2. 以IE打開example1.html 75
- 77. Page §77 Decode JavaScripts-- 0614.txt § ⼿手動取代法,eval改成alert eval改成document.write 77 可知有第⼆二次變型加密,再來⼀一次
- 78. Page §78 Decode JavaScripts-- 0614.txtby Malzilla 78
- 79. Page §79 FreShow: 網⾴頁解密分析⼯工具 § 下載位址: n Google “Freshow” § 主要功能 – 網⾴頁內容URL 擷取,並依序探測 – 網⾴頁元素篩選,例如:iframe – 混淆去除,例如“a”+“b”、空字符等 – 字串替換,適合于部分⾃自寫函數 – 網⾴頁標記轉換 – ASCII字符轉換,⽀支持分隔符輸⼊入 – ⽀支持US-ASCII編碼 – ⽀支持ALPHA2、Base64、Winwebmail加密算法。 79
- 80. Page §80 FreShow: 功能介紹 80 輸⼊入需解密分析的URL1 2. 按下Check,取得遠端網⾴頁內 容3. 上框:從Internet 得到URL內容 4.清除上下框內容 5.複製下框內容 6.過濾出網⾴頁內容中,嵌⼊入於js、iframe、script標籤中之URL 7. 解密 4. 5. 6. 7. 8. 9. 10 8.過濾選項: l Qeye:過濾網⾴頁內容中存在的Mal-link。 l Connect:處理連接字串符號,如’a+b’,變成ab。 l Nuls: 過濾空字串符號。 l Replace:替换字串。 l Reverse:字串逆轉 10. ⾦金鑰:主要IE7.0漏洞的解密需要⾦金鑰 將下框內容翻轉到 上框,⼆二次解密 12 13 14 11 16 17 18 19 20
- 81. Page §81 FreShow: 功能介紹 (Cont.) 81 § 9. 解密選项: l Esc : 轉换%、%u、x等形式的转換字符,使enumXOR。 l ASCII: 轉換1,2,3”形式的ASCII碼。 l US-ASCII: 內含有meta http-equiv=“Content-Type” l Alpha2:在Replayer的漏洞利⽤用上,轉換到x形式 l EnumXOR: 對⼗十六進制的数據解碼 l Base64:加密特徵加密特徵⼤大⼩小寫字⺟母及数字混排,末尾包含等号。 l Winwebmail
- 82. Page §82 FreShow: 功能介紹 (Cont.) 12. 上框選擇按鈕:上框內容清空或複製 13. 下框選擇按鈕:下框內容清空或複製 14. 惡意網⾴頁擷取出的惡意連結,依序列於內容框內,可以上移、下移 、删除、全選等操作,點選其中⼀一個連結時,循序再進⾏行惡意連結擷 取 16. 選擇所有URL Link 17. 刪除不需要連結 18.將選擇惡意連結格式化,並可複製到剪貼簿 19. 可搭配外部⼯工具,下載取得惡意程式 20. 插⼊入惡意連結進⼊入內容框 82
- 83. Page §83 Malzilla § Malzilla : 網⾴頁掛⾺馬解碼分析⼯工具 – http://malzilla.sourceforge.net/ 83
- 84. Page §84 Joint web-based malware fighting projects § Develope to allow you to verify a website's content before you visit it – http://www.it-mate.co.uk/ § Fiddler : Web Debugging Proxy which logs all HTTP(S) traffic between your computer and the Internet – http://www.fiddlertool.com/fiddler/ 84